防火墙技术

1.防火墙的定义

防火墙是一种分离内部网络和开放网络的方法，本质上是一种隔离技术。防火墙是保护网络安全的主要手段之一。近年来，防火墙技术取得了很大的进展，各种防火墙技术应运而生。

2.防火墙技术分析

根据防火墙采用的不同技术，可分为四种类型：包装过滤型、网络地址转换-NAT、应用型、状态检测型等。

（1）包装过滤类型。包装过滤防火墙工作在OSI参考模型的网络层和传输层。根据数据包头源地址、目的地址、端口号和协议类型确定是否允许通过。只有满足过滤条件的数据包才能转发到相应的目的地，其余的数据包被数据流阻挡和丢弃。包装过滤的优点是：过滤路由器可以帮助保护整个网络；数据包过滤对用户透明；过滤路由器速度快，效率高。缺点：只能根据数据包的来源、目标、端口等网络信息来判断，不能完全防止地址欺诈；部分应用协议不适合数据包过滤；正常数据包过滤路由器不能执行某些安全策略；不能防止黑客攻击，不支持应用层协议，不能处理新的安全威胁。

(2)网络地址转换-NAT。网络地址转换是将IP地址转换为临时外部注册的IP地址标准。用户必须为网络中的每台机器获得注册的IP地址。当内部网络通过安全网卡访问外部网络时，系统将外部源地址和源端口映射为伪装地址和端口与外部连接，从而隐藏真实的内部网络地址。当外部网络通过非安全网卡访问内部网络时，它不知道内部网络的连接，而只是通过开放的IP地址和端口访问。防火墙根据预先定义的映射规则来判断访问是否安全和接受。网络地址转换过程对用户是透明的，不需要用户设置，用户只需要进行常规操作。

(3)应用型防火墙。应用防火墙是OSI工作的最高层，即应用层。其特点是完全“阻挡”了网络通信流，通过编制各种应用服务的特殊程序，实现了应用层通信流的监控和控制。应用防火墙的优点是安全性高，可以对应用层进行检测和扫描，对基于应用层的侵入和病毒处理非常有效。缺点是对系统的整体性能有很大的影响，服务器必须逐一设置客户机可能产生的所有应用类型，大大提高了系统管理的复杂性。计算机网络在世界各地发展迅速，其应用几乎包括人类生活和工作的各个领域，它给我们带来了前所未有的便利，但也给我们带来了很多问题，计算机网络安全是一个综合性课题，涉及技术、管理、使用和维护。为保证计算机网络系统的安全，应采用多种安全防护策略。现代防火墙技术已逐渐从网络安全的底层走向网络层以外的其他安全层次。在完成传统防火墙的过滤任务的同时，还可以为各种网络提供相应的安全服务。